内部控制体系基本框架

内部控制体系基本框架

目次

1 总则．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．

1．1 编制目的………………………………………

1．2 编制依据………………………………………

1．3 编制原则………………………………………

1．4 主要应用………………………………………………………………………

1．5 主要内容…………………………………………………………………………

1．6 控制的原则………………………………………………………………………

1．7 控制的职责………………………………………………………………………

2 框架基础………………………………………………………………………………

2．1 公司愿景…………………………………………………………………………

2．2 公司使命…………………………………………………………………………

2．3 公司战略…………………………………………………………………………

2．4 经营理念…………………………………………………………………………

2．5 企业文化…………………………………………………………………………

2．6 核心价值观………………………………………………………………………

2．7 公司与政府的关系………………………………………………………………

2．8 公司与投资方的关系……………………………………………………………

2．9 公司与员工的关系………………………………………………………………

3 控制环境………………………………………………………………………………

3．1 公司治理架构……………………………………………………………………

3．2 管理理念及经营风格……………………………………………………………

3．3 组织结构…………………………………………………………………………

3．4 诚信与道德价值观………………………………………………………………

3．5 权责分配体系……………………………………………………………………

3．6 人力资源政策及实施……………………………………………………………

4 风险管理………………………………………………………………………………

4．1 风险管理内容……………………………………………………………………

4．2 风险管理目的……………………………………………………………………

4．3 风险管理信息的采集…………………………………………………………

4．4 风险评估………………………………………………………………………

4．5 风险管理策略…………………………………………………………………

4．6 风险应对措施…………………………………………………………………

4．7 风险管理的监督与改进………………………………………………………

5 控制活动……………………………………………………………………………

5．1 实施控制活动的基本要求……………………………………………………

5．2 建立预算管理和经营活动分析评价制度……………………………………

5．3 期末财务报告流程……………………………………………………………

5．4 建立控制活动体系……………………………………………………………

6 信息与沟通…………………………………………………………………………

6．1 信息……………………………………………………………………………

6．2 沟通……………………………………………………………………………

6．3 信息披露………………………………………………………………………

7 监督…………………………………………………………………………………

7．1 持续监督………………………………………………………………………

7．2 独立评估………………………………………………………………………

7．3 缺陷报告………………………………………………………………………

7．4 内部审计与监督………………………………………………………………

1 总则

介绍了内部控制体系基本框架(简称本框架)的编制目的、编制原则、主要应用及内部控制五大要素在公司运营中的主要内容，同时也提出了构建内部控制体系的总体要求。

1．1 编制目的

本框架列示了公司对建立一个有效内部控制系统所必须的基本控制原则、政策和标准。提供各部门完善内部控制的基本依据，同时也是为了提高管理层及员工对管理职责的认知和接受程度，从而更好地建立和保持与这些标准一致的控制系统和程序。这些控制标准允许各部门在设计与公司现有的政策和程序相一致的控制系统时进行灵活运用。

本框架是一个较为理想的框架，可能公司的内部控制现状均与之有一定差距，但公司董事会、管理层以及各级员工希望通过理解和贯彻本框架的要求，梳理管理流程、规范管理行为，逐步建立健全风险管理体系，增强风险防范能力，来实现提升公司整体管理水平的目的。1．2 编制依据

1．2．1 公司治理和管理的内在要求。

1．2．2 本框架依据美国《萨班斯法案》、COSO（Committee of Sponsoring Organizations of the Treadway Commission即反虚假财务报告委员会的发起人组织委员会）《内部控制——整体框架》、COSO《企业风险管理——整合框架》及《中华人民共和国公司法》、《中华人民共和国合同法》、《中华人民共和国会计法》等国家法律法规编制。

1．3 编制原则

1．3．1 合法性原则

以国内及上市地法律法规为准绳，结合公司实际进行内控体系设计。

1．3．2 完整性原则

以《中华人民共和国公司法》、《中华人民共和国合同法》、《中华人民共和国会计法》等国家法律法规及美国《萨班斯法案》、COSO内部控制框架五要素为指引，全面开展内控体系建设，并覆盖各项业务和部门，构建公司有机的内部控制框架。

1．3．3 继承性原则

与公司管理制度体系相结合，在公司现有管理体系的基础上，建立内部控制管理体系。1．3．4 有效性原则

在内控体系设计过程中考虑了实施的可行性，根据公司运行的实际需要进行体系设计。1．4 主要应用

本框架是公司构建良好的控制系统所遵循的基本控制原则和理论基础，它适用于任何业务部门和业务流程，公司及所属各部门应依据本框架所介绍的控制标准建立有关系统和程序，并定期进行审查以确保其足够性和有效性。

公司内控部有职责就有关控制事项向各职能部门提出意见，希望并鼓励各部门向其寻求意见。

管理人员应就任何与控制标准有关的例外情况，与内控部进行书面沟通。如果业务流程产生了重大变化，或由于出现其他情况而使本框架的某一个或多个程序与实际情况不相符合时，请通知内控部。如果需要，公司内控部将对例外情况进行调研、备案，并协调解决方法，适时地建议职能部门采用替代的控制程序。

1．5 主要内容

本框架以COSO框架与《萨班斯法案》规定为指引进行内控体系建设，从控制环境、风险评估、控制活动、信息与沟通和监督等五个要素开始，对每一个要素再细分为若干个子要素，全面、系统地阐述了内控体系建设的目标、方法和标准，以全面、有效地指导公司内控体系建设工作。

1．5．1 控制环境

1．5．1．1 释义

控制环境是指对建立、加强或削弱特定政策、程序的效率和效果有重大影响的各种因素。有些是有形的因素，如组织机构、授权、组织业务活动；还有一些是无形的因素，比如员工的能力和诚信、高层管理人员的道德影响力、公司管理层与所属人员沟通和推行政策的方式以及影响公司业务的各种外部关系等。

1．5．1．2 控制环境的作用

营造良好的控制环境是公司生存发展的必要条件。

公司管理层所建立的总体控制环境，对公司内部控制的选择和控制效率都具有非常重要的影响。

一个健全的管理系统可以帮助创建良好的控制环境，从而进行有效的控制。这种环境的特点是关注控制的存在，确保控制的执行，对执行控制持有正确的态度。

恶劣的控制环境可能会使一些内部控制失效，达不到任何目的，不利于企业目标的实现。1．5．2 风险评估

1．5．2．1 释义

风险是未来的不确定性对公司实现其经营目标的影响，所有公司无论规模、结构和行业性质，都面临着诸多来自内部和外部的风险，影响公司既定目标的实现。

风险评估是指对相关风险进行识别和分析，是发现和分析那些影响目标实现的风险的过程，是确定如何管理和控制风险的基础。

为提升公司管理水平和创造股东价值为目的，董事会与管理层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上，应将风险管理作为内部控制的主要内容。1．5．2．2 风险评估的目的

由于外部宏观环境(如经济状况、行业状况、法规)和公司内部经营状况会不断发生变化，要发现并处理这些变化对有关风险的影响，必须建立健全一套风险评估制度体系和持续改进的运作机制，以有效地识别、分析和管理影响目标实现的相关风险，提高公司抵御各种风险的能力。

1．5．3 控制活动

1．5．3．1 释义

控制活动是确保管理层指令得以执行的政策和程序，政策和程序是两个不同层面上的构成要素，是针对风险采取的控制措施；同时，控制活动是由董事会、管理层、业务执行部门及公司所属各单位分层次实施的，以实现公司营运的效率和效果、财务报告的可靠性、遵守适用的法律法规的目标。控制活动贯穿于公司的各个层次和部门，一般包括诸如职责分派、授权、批准、记录、查证核对、分析审核经营业绩、资产保护等活动。

1．5．3．2 控制活动主要工作内容

建立健全控制活动制度体系。

建立健全经营活动分析及其管理活动分析制度，并按照制度规定开展分析评价活动；

控制现状描述与分析，对关键业务流程进行风险控制分析，编制分析文档并修改、完善、补充相关制度；

建立关键控制，进行流程分析，建立完善的关键控制的确认标准(内部控制体系评价标准)，确定所有业务流程的关键控制；

规范期末财务、工程投资、生产运营报告流程，完善相关期末报告制度。

1．5．4 信息与沟通

1．5．4．1 释义

信息与沟通是指相关信息以某种形式并在某个时段被识别、获得和沟通，以促使员工采

取一定的措施或行动履行自己的职责。信息与沟通连接了内部控制体系整体框架的其他要素，是有效实施内部控制的保障，直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。

1．5．4．2 目的

公司管理的最重要的内容之一就是决策，管理行为的重点就是采集、加工决策所需的信息。信息与沟通包括两个方面，一是有一套能够支持信息确认、信息获取和信息交流的系统，使员工能够按照一定的形式和时间行使职责以及正确编制财务和非财务报告；二是在公司各个层面对相关信息进行有效的沟通和将其传达给相关的各方，冲突必须得到有效管理和控制，以利于实现公司预定目标。

1．5．4．3 公司系统内部信息与沟通基础工作

组织结构要有利于信息的传递和交流；

要建立能有效解决横向部门、上下级之间的冲突与矛盾解决机制；

信息沟通应能有效促进公司经营目标的实现。

1．5．4．4 信息与沟通必须做好的工作

从制度上保证信息沟通体系的建立。建立健全信息沟通渠道及沟通方式；完善与信息沟通相关的管理制度，包括：沟通的种类、沟通的渠道、相关部门的职责等。

利用计算机信息基础，提高信息与沟通的管理水平。结合公司信息化建设，逐步在整个公司系统形成集中、统一、完整的计算机应用系统，分级实施，为公司实现网络化经营提供统一平台，提高信息处理和沟通的及时性、高效性，确保生产经营数据的真实性、完整性。

完善对外披露事项的管理制度，包括重大事项判定标准、报告程序及规范披露事项的收集、汇总和披露程序等方面。

1．5．5 监督

1．5．5．1 释义

为了使内部控制系统有效运行，就需要对内部控制系统的建立和实施开展恰当的监督，通过监督活动，评价内部控制系统的效果和质量。包括持续监督、独立评估和内控缺陷报告等。

1．5．5．2 内容

持续监督。建立完善的内控体系维护机制、管理制度及内控测试标准，持续监控内控体系的有效性。

独立评估。相关部门定期监督、评估内控体系的有效性。独立评估的范围和频率主要依赖于风险评估和持续监督的有效性。

缺陷报告。建立健全缺陷报告管理机制，制定缺陷确认标准，明确向相关管理人员和董事会上报内控风险的程序。内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。

1．6控制的原则

1．6．1 管理权利的分散化

在现有的机构和人员条件内，每个部门都应该在营运范围内尽量发挥其管理职责和授权，并对结果负完全责任，不应该过于突出某一个部门的作用或地位，而导致公司总体控制的不平衡发展。

1．6．2 职责的划分

对财务资产及有形资产的保管与会计职责进行划分。任何一个部门或员工都不应该具有控制任何一个重大交易或一组重大交易的权利。

1．6．3 文件记录

所有营运程序、业务活动和交易都要保留文件证据，目的是为了确定审批和查证职责、

提供准确及时的会计记录和报告，提供记录，用于分析和回顾。

1．6．4 监管与检查

对管理人员和其他员工的工作进行系统、详细的监管和检查，有助于确保员工对控制程序的了解和执行。

1．6．5 时效性

记录、报告和检查是评估业绩过程的一部分，这些工作应该及时地按照计划进行。1．6．6 与风险相关

控制程序的设计反映出风险的性质和程度，控制的成本应该与产生的效益相关。1．6．7 尽量减少控制的相互依赖

内部控制的每个方面都应该精心组织，如果任何一个部分出现重大失误，应该确保不会严重削弱整个系统中其他控制部分的效率。

1．7 控制的职责

1．7．1 管理层

进行适当、有效的控制是各部门的重要职责之一，从最基础的主管开始，向上一直到公司的管理层，公司内控在一种分散化的机构框架中进行。

各级管理人员都有职责就控制理念和控制要求与其机构内所属的员工进行沟通，这些管理人员还负责在其机构的营运系统和工作程序中采取充分的控制措施。

执行公司政策和程序、找出需要改变的控制是日常业务主管人员的职责；公司管理层在各部门的协助下负责对控制系统实施总体监督。

1．7．2 内部审计

公司内部审计对内部控制系统运作的足够性和有效性进行独立、客观的监督和评价。

公司建立了一套报告关系，确保内部审计人员在选择检查范围或评估有关工作时，不受某些机构可能给予的压力的影响，这些报告关系包括直接或间接地与公司高级管理人员沟通。

各级管理层有义务对所有在内部审计中发现的问题和提出的意见进行评估并采取适当的行为，特别注意对内部控制中的不足进行纠正。

1．7．3 外部审计

外部审计人员主要是对公司的综合财务报告发表意见。

审查过程中，他们有义务报告与其审查的财务报告和资料相关的任何重大内部会计控制缺陷。

由于外部审计人员对内部控制的审查可能局限于一般接受的审计标准，所以公司的管理人员不能用外部审计人员的审查来完全替代各部门对控制职能的评价。

外部审计人员可以对所有他们认为与执行审计工作有关的营运、记录、人员和有形财产进行检查。

1．7．4 各级员工

各级员工都应参与公司控制系统并遵循公司的政策和程序。在执行工作过程中，所有员工都应对现行政策和程序不相符合的情况或交易保持警惕和提出质疑。

2 框架基础

在控制的过程中，将公司管理层的目标和要求明确地传达到公司组织的各个方面是非常重要的，在本部分列出了公司的基本政策，为确保公司的持续发展提供良好的控制基础和前提条件。

2．1 公司愿景

建设世界一流企业，创建世界一流品牌。

2．2 公司使命

建设资源节约型、环境友好型企业，为社会提供纯天然、零热量、高品质的“第三代健康糖源”。

2．3 公司战略

“建设世界一流企业，创建世界一流品牌”既是GLG全体员工的共同愿景，也是企业的战略定位。依靠忠诚的员工队伍，凭借自身拥有的目前世界最全的集种苗研发、种植、工业加工、国际市场营销网络于一体的产业链，依托科学的管理、先进的设备，我们完全可以做到全球产量最大、质量最高、成本最低，我们坚信，有了这样的核心竞争力，不断加强管理、技术和文化的创新，在注重发展质量、规避经营风险的前提下，打造以“文化独特化，利益一体化，责任社会化，管理现代化，经营国际化，品牌大众化，产品差异化，优势显著化，竞争正规化”为特质的世界一流企业、一流品牌的目标一定能够早日实现。

2．4 经营理念

诚信为本，规范经营，业绩优良，回报股东。作为上市公司，依法合规经营，以诚信的理念和心态主动沟通，真诚面对股东，面对社会，实现对股东的承诺。

2．5 企业文化

GLG集团认为：企业文化是企业的灵魂，完美的企业必须有强大的企业文化主导。志在成为世界甜菊糖行业“巨无霸”的GLG集团应该具备有GLG特色的企业文化。

GLG文化传承中华民族优秀的传统文化，吸收、借鉴西方现代文明以及人类一切优秀文明成果，崇尚人文关怀，追求和谐包容。

GLG倡导“健康有意义的人生”，奉行“学、诚、勤，和、信、廉”，提倡“充满激情而又严谨的工作”；GLG主张“学习是一种生活方式”，努力打造学习型团队。鼓励员工不断超越自我，追求杰出。

人文化成，文化兴企。GLG将通过企业文化的固化、细化，完善包括精神文化、制度文化、物质文化在内的企业文化体系，建立企业文化的各种载体，打造企业文化“软实力”，为企业的快速、健康、可持续发展提供不竭的动力，并最终造就一大批杰出的GLG人。2．6 核心价值观

忠诚提升和谐诚信

在GLG文化里，“忠诚”首先表现为每一个GLG员工作为一个社会公民的道德底线：自尊、自重、自爱，奉公守法，遵守公俗良序；其次，“忠诚”是作为一个职业人最基本的职业精神。它要求GLG的每一个成员都必须自觉维护企业利益和企业荣誉：有强烈的责任感，尽职尽责，能充分承担本职工作的经济责任、社会责任和道德责任，公私分明，不做任何与履行职责相悖的事，不做有损企业形象和企业信誉的事。坚决反对和杜绝一切贪污腐败的行为。与此同时，GLG以构建和谐价值链为己任，与行业、产业的上下游企业和全体员工共同提升。

“和谐”是GLG始终不渝追求的目标和集团持续快速健康发展的保障。GLG谋求建设“共融、共享、共赢、共荣”的和谐企业，我们要在继承中创新、在创新中发展，不断追求高尚、不断追求完美、不断追求人生的更高境界、不断创造集团更美好的未来。“和谐GLG”根本是价值理念高度认同，不论形势如何变化都始终予以坚持；和谐的关键是集团高层公道正派，各级领导在人品上率先垂范；和谐的基础是团队动作协调、上下目标统一、企业均衡发展；和谐的保障是工作流程简约而不简单、决策严谨而不繁琐、执行高效而不盲动；和谐的真谛是原则上坚定、利益上互让、性格上包容。

GLG提倡以实事求是的精神指导自己的一切行为，坚持说老实话、办老实事、做老实人，以诚待人，光明磊落。言必信，行必果。正确处理义利关系，坚持守法经营，讲究诚信，

坚决反对任何吹牛浮夸、弄虚作假的行为。

2．7 公司与政府的关系

企业与政府是现代社会中两种最有影响力的组织。GLG集团认为，企业与政府是主体平等、相互依存的鱼水关系、手足关系，GLG集团依照法治原则、高效原则、平等保护原则、经济原则，在与政府权利、义务对等的前提下，依法进行经营活动，同时，注重加强企业的社会形象管理，努力创设有利于企业发展的良好的外部环境。

2．8 公司与投资方的关系

公司对所有的股东负责，在董事会领导和监督下进行生产经营活动，从而向投资方进行合理的回报，实现共同利益与公司持续发展的有机结合。

2．9 公司与员工的关系

2．9．1 GLG认为，员工和企业是休戚相关的利益共同体。对GLG绝对忠诚是员工的神圣义务；GLG为忠于公司、恪尽职守的员工的提升和个人价值的实现提供良好的平台；GLG 努力构建和谐企业，建设和谐友爱的GLG大家庭；恪守诚信是GLG集团基业长青的保证。2．9．2 GLG所有员工在人格上人人平等，在发展机会面前人人平等；GLG倡导简单而真诚的人际关系。

3控制环境

控制环境是整个内部控制框架的基础，直接影响到内部控制的贯彻和执行，影响企业经营目标和整体战略目标的实现。公司要颁布纪律守则和政策声明，支持内控环境的构建，应包含以下子要素。

3．1 公司治理架构

公司治理是指股东、董事会、董事会辖下管理委员会、管理层之间形成的权责分配、约束与激励、权力制衡关系。虽然内部控制的贯彻落实是属于内部管理措施问题，但是，内部控制机制设计则属于公司治理范围。

3．1．1 股权结构

公司应向公众充分披露公司股权结构，包括披露股东背后的相关利益方，使股权结构保持透明清晰；

大股东不损害小股东的利益；

母公司或控股公司股东不通过公司章程外的手段来影响经营者或独立董事的行为；

管理层和内部持股者不能损害股东的利益。

3．1．2 相关利益方的平衡关系

每个股东都能按照程序规定参加股东大会，并获得充足的信息；

由全体股东参与的股东大会可以控制决策过程；

股东应有权益不受到削弱。

3．1．3 财务透明度和信息披露

财务报表和信息披露内容质量能被公众认可；

向公众披露的信息及时、清晰完整、容易获取；

在公司章程、规章制度中有明确阐述。

3．1．4 董事会结构及运作

董事会能公正代表股东的利益；

董事会选举过程透明，董事本人不参与；

董事的薪酬制定程序规范，有明确的连任政策；

董事会下设立适当的专业委员会，并在董事会闭会期间监督公司的经营状况。

3．2 管理理念及经营风格

管理理念及经营风格表现为管理者的各种偏好，对公司的内部控制效率和效果有深远的影响，也对员工的道德行为、行为方式有直接影响，内部控制的有效性无法超越管理者的管理哲学及经营风格，主要有对接受风险的态度、是否重视对关键岗位人员的监测或轮换、对会计账目以及财务报告真实性、可靠性、安全性的态度等。

3．2．1 接受风险的程度

对高风险领域的投资行为按照制度规定的程序进行分析论证；

力求公司的债务和权益比始终保持同行领先水平；

在介人新业务前，应在进行仔细的风险和收益分析后才采取行动；

制定风险偏好标准和风险容忍度。

3．2．2 重视关键岗位人员轮换使用

建立物资、会计、技改、工程等岗位人员的轮换制度，并按照规定执行；

管理层和监督层人员不应存在过高的更换频率；

对关键岗位的员工应有相应的制度或措施保证由于突然离职或意外情况的发生使公司的业务不受影响。

3．2．3 管理者对数据的态度

管理当局质疑各种基础数据统计、财务报告的真实性和可靠性，而且制定制度规范数据处理；

管理层要重视综合统计分析报告和财务报告；

管理层重视预算执行偏差分析报告；

重要资产，如包括知识产权和信息被严格地保护，防止未经授权的接触。

3．3 组织结构

3．3．1 建立原则

组织机构以精简、高效和应变为原则而建立，通过结构优化提高员工的整体素质，并且要与公司发展战略规划相匹配。同时考虑以下几个方面：

(1)有利于强化责任，确保公司目标和战略的实现；

(2)有利于简化流程，快速响应顾客的需求和市场的变化；

(3)有利于提高协作效率，降低成本；

(4)有利于信息的交流，促进创新和优秀人才的脱颖而出；

(5)有利于培养领导干部，使公司可持续发展。

3．3．2 发展原则

组织结构的演变不应当是一种自发的过程，其发展具有阶段性。组织结构在一定时期内的相对稳定，是稳定政策、稳定干部队伍、稳定员工思想和提高管理水平的条件，是提高效率和效果的保证。

3．3．3 权责分配

组织结构能满足公司的规划、执行、控制、监督活动，日常经营层的设立应满足需要的职能部门，对重大的投资、财务预决算等决策做好前期工作，报专业委员会审查，对具有投资价值的战略项目、再报董事会或股东大会通过。

3．3．4 信息沟通和汇报

组织机构设置的横向扁平宽度和垂直层次要合理，使信息沟通和汇报能满足公司日常管理；

各业务流程必须在部门之间、上下级单位之间适当分割，使计划、授权、审批、执行、控制、考核评价、监督职能适当分离和牵制，管理业务信息顺畅，兼顾效率和效果。3．3．5 组织结构变化的适应性

组织结构会随着环境的变化而变化。具体包括：管理人员定期根据变化的业务或行业环境来评价公司的组织结构。

3．3．6 员工人数足够

配备足够数量的员工，特别是管理人员。使管理人员拥有足够的时间来有效地履行职责。

同时保证管理人员能够将工作分派给其下属，避免出现大量加班来完成本可以由多名员工完成的工作。

3．4 诚信与道德价值观

3．4．1 道德准则的制定及推行

管理层应该向员工传达诚信与道德标准，并且必须不折不扣地执行。员工应该知晓和理解这些规定。管理层应该在言谈和行动的方式中表现出对道德标准一丝不苟的遵循。3．4．2 内容

道德标准是全面的，针对利益冲突、非法或其他不当付款、反不正当竞争准则、内幕交易等。

公司对道德标准进行有效地宣传推广，建立包括详尽的道德指导并在公司上下沟通程度的指导，管理层通过一言一行，在公司范围内传达一种对诚信与道德观的遵循，对存在问题的迹象适当地关注。

员工知晓什么行为是可接受的，什么是不可以接受的，以及当遇到不当行为时应该采取的行动，让员工感觉到被同仁敦促做正确的事情的压力。

3．4．3 与利益相关方的关系

管理层与员工、供应商、客户、投资者、债权人、保险公司、竞争对象和审计师等进行交往时，是否采用高的道德标准，并且要求其他人同样遵守道德标准。具体包括：与客户、供应商、员工和其他相关方的日常业务建立在诚实和公允的基础上。

3．4．4 违规处理

针对违反政策和道德标准的情况采取适当的措施，具体包括：

(1)管理层对违规行为应进行回应。

(2)对违规行为会进行纪律处分，处理的原则和结果应在公司上下进行传达并保持一贯性。

(3)员工确信如果违规要承担后果。

3．4．5 管理层对干预或逾越既定控制的态度

管理层干预是指为了合法的目的而偏离既定的规章和程序的行为。当出现特殊的和非标准的交易和事件时，管理层的干预是合理的，因为没有一个公司在设计内部控制时能够考虑所有因素，当特殊情况出现，现有的内部控制不适用时，需要管理层采取干预进行处理。而管理层的越权行为则是指为了不合法的目的而不遵守既定的规定和程序，这是内部控制禁止的。

3．4．6 实现目标的压力

绩效目标的制定应是合理的，绩效考核导向是与公司战略目标和阶段目标相一致的，特别是短期目标，工资与绩效目标实现的挂钩程度是合理的。具体包括：

(1)不存在偏激的奖惩制度，影响员工对道德标准的遵守。

(2)升职和工资不能仅基于短期绩效目标的实现程度。

(3)实施控制以减少以其他形式存在的诱惑。

3．5权责分配体系

公司内部机构之间、各经办人员之间的科学分工与牵制是内控环境的软要素，做到不相容职务分离，要通过建立制度和工作程序来规范完成。以下不相容职务要分离：

(1)授权审批职务与执行业务职务要分离；

(2)业务经办职务与审核监督职务要分离；

(3)业务经办职务与会计记录职务要分离；

(4)财产保管职务与会计记录职务要分离；

(5)业务经办职务与财产保管职务要分离。

3．6 人力资源政策及实施

人力资源政策及实务是挽留和补充人才，保证企业计划实施和目标实现的关键因素，内控体系要求人力资源政策及实务的标准要求要涵盖人事管理、薪酬管理、候选人考察、违规行为处理及培训管理等方面。

3．6．1 人力资源政策和指引

应建立人力资源政策与指引，并由公司管理层审批。

现有人力资源政策和程序可以招聘并发展有能力、可信的人员，能够支持有效的内部控制系统，并对招聘和培训合适人员的关注程度是适当的。

3．6．2 员工责任和目标

员工应意识到他们的工作职责和公司对他们的期望。

3．6．3 违规行为的纠正措施

管理层对工作失职的行为应采取适当的措施，对违反政策的行为有适当的纠正措施。3．6．4 道德标准的遵从

人力资源政策与相应的道德标准一致，诚信和道德价值是员工评价的一项标准。3．6．5 核查候选人或继任者的背景

对频繁更换工作和职业背景相差很大的候选人要仔细核查，雇佣政策要包括对犯罪记录的调查。

4 风险管理

4．1 风险管理内容

风险管理不是孤立分配给风险管理部门的任务和责任，董事会、公司管理层、公司各职能部门、公司下属各单位都要把风险管理的各项工作融人到企业管理和各项业务流程及其管理制度中去，重点要做好战略发展、投资收购、财务管理及报告、安全生产、环境和职业健康、燃料管理、金融产品的交易、法律事务、内部审计等的风险管理工作。

(1)风险评估的前提条件是设立目标。设立目标是管理过程重要的一部分，它是风险管理的要素之一，是内部控制得以实施的先决条件。

(2)识别与上述目标相关的风险。

(3)评估上述被识别风险的后果和可能性，划分重要业务单位、流程、资产设备等，一旦确定了主要的风险因素，管理层就可以考虑它们的重要程度，并尽可能将这些风险因素与业务活动联系起来。

(4)针对风险的结果，考虑适当的控制活动。

4．2 风险管理目的

从组织结构上看，形成三道风险屏障，公司各业务职能部门和公司所属各单位形成第一道屏障，内控职能部门和公司管理层形成第二道屏障，内控职能部门和董事会下设的投资及风险控制委员会、审核委员会形成第三道屏障；从管理流程来看，风险管理成为内控体系及其制度体系的主要支撑，形成公司良好的风险管理文化。

公司各项管理活动和风险管理应该关联内容的参考标准见下表。

公司各项管理活动和风险管理应该关联内容的参考标准

4．3 风险管理信息的采集

公司实行全面风险管理，应持续不断地收集与本公司风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测数据，把收集初始信息的职责分工落实到有关职能管理部门和下属业务单位，必要时，按照效益大于成本的原则也可以把某项信息采集工作外包。4．3．1 战略风险信息采集至少收集以下战略信息，并包含因战略风险导致企业受损失的案例：

(1)国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；

(2)科技进步、技术创新的有关内容；

(3)市场对本企业产品的需求；

(4)与公司战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；

(5)本公司主要客户、供应商及竞争对手的有关情况；

(6)与主要竞争对手相比，本公司实力与差距；

(7)本公司发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据；

(8)本公司对外投融资流程中曾发生或易发生错误的业务流程或环节。

4．3．2 财务风险信息采集至少收集以下财务信息(其中有行业平均指标或先进指标的，也应尽可能收集)，并包含因财务风险导致公司危机的案例：

(1)负债、或有负债、负债率、偿债能力；

(2)现金流、应收账款及其占销售收入的比重、资金周转率；

(3)产品存货及其占销售成本的比重、应付账款及其占购货额的比重；

(4)生产成本和管理费用、财务费用、营业费用；

(5)盈利能力；

(6)成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；

(7)与本公司相关的行业会计政策、会计估算、与国际会计制度的差异与调节信息；

(8)环保费用、政策优惠费用。

4．3．3 市场风险信息采集在市场风险方面，公司应广泛收集国内外公司忽视市场风险、缺乏应对措施导致公司蒙受损失的案例，并至少收集与本公司相关的以下重要信息：

(1)产品的价格及供需变化；

(2)原材料、辅助材料等物资供应的充足性、稳定性和价格变化；

(3)税收政策和利率、汇率、股票价格指数的变化；

(4)潜在竞争者、竞争者及其主要产品情况。

4．3．4 运营风险信息采集在运营风险方面，应至少收集与本公司、本行业相关的以下信息：

(1)资产结构、产品结构、设备先进程度、设备健康状态、能耗；

(2)新项目的市场营销策略，包括产品定价与销售渠道，市场营销环境状况等；

(3)公司组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；

(4)质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节，相应的经验反馈；

(5)因公司内、外部人员的道德风险致使公司遭受损失或业务控制系统失灵；

(6)对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；

(7)公司风险管理的现状和能力；

(8)给公司造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险。

4．3．5 法律风险信息采集公司应广泛收集国内外公司忽视法律法规风险、缺乏应对措施导致公司蒙受损失的案例，并至少收集与本公司相关的以下信息：

(1)国内外与本公司相关的政治、法律环境；

(2)影响公司的新法律法规和政策；

(3)员工道德操守的遵从性；

(4)本公司签订的重大协议和有关贸易合同；

(5)本公司发生重大法律纠纷案件的情况；

(6)公司和竞争对手的知识产权情况。

4．3．6 对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。

4．4 风险评估

公司对采集的风险管理信息和公司各项业务管理及其重要业务流程进行风险评估，风险评估包括风险辨识、风险分析、风险评价三个基本环节，风险评估结果要在各项业务管理中充分应用。

风险评估的内控标准参考如下：

(1)公司层面应综合考虑组合风险，全面评估风险，风险评估应由公司组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。

(2)风险辨识是指查找公司各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对公司实现目标的影响程度、风险的价值等。

(3)进行风险辨识、分析、评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等方法。

(4)进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化，定期对假设前提和参数进行复核和修改，并将定量评估系统的估算结果与实际效果对比，据此对有关参数进行调整和改进。

(5)风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。

(6)公司在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。

(7)公司应对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。

4．5 风险管理策略

风险管理策略，指公司根据自身条件和外部环境，围绕公司发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。

4．5．1 风险管理的应对策略选择

公司应考虑所有评估出的高风险(比例应占10％-20％)的风险反应方案，为风险反应方案的选择提供广泛的空间，特别是对战略、财务、生产运营和法律风险，应采取风险承担、风险规避、风险转换、风险控制等方法。

4．5．2 制定风险预警线(容忍程度)

(1)公司应根据不同业务特点统一确定风险偏好和风险承受度，即公司愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。

(2)确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。

4．5．3 风险管理实施保障

(1)公司应根据风险与收益相平衡的原则，进一步确定风险管理的优选顺序。

(2)明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。

4．5．4 优化改进

公司应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。

4．6 风险应对措施

公司应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具(如关键风险指标管理、损失事件管理等)。

公司制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。

公司制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。

4．6．1 关键岗位授权和审批

(1)建立关键岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围

和额度等，任何组织和个人不得超越授权做出风险性决定。

(2)建立内控批准制度。对内控所关注的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。

4．6．2 内控报告

建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。

4．6．3 明确内控责任

建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。

4．6．4 审计监督

建立内控审计监督制度。结合内控的有关要求、方法、标准与流程，明确规定审计监督的对象、内容、方式和负责审计监督的部门等。

4．6．5 考核评价

建立考核评价制度。条件具备时应把各业务单位风险管理执行情况与绩效薪酬挂钩。4．6．6 风险预警

建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施。

4．6．7 法律风险防范

(1)建立健全以总法律顾问制度为核心的公司法律顾问制度。

(2)大力加强公司法律风险防范机制建设，形成由公司决策层主导、公司总法律顾问牵头、公司法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。

(3)完善公司重大法律纠纷案件的备案管理制度。

4．6．8 业务流程分割

对内控关注的高风险业务流程切割，分配给不同的主体承办，建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括授权批准、战略、投资、付款、合同采购、工程等业务经办、会计记录、财产保管和稽核检查等职责。对内控所关注的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。

4．6．9 风险应急预案

应制定定期对高风险项目、重要管理岗位、资金流通环节、安全健康环境保护、灾害事故、生产危机、群体事件、资本市场公众信任危机等的应急预控方案。

针对以上所列应急预控方案，在必要时组织应对演练，并落实责任分工。

4．7 风险管理的监督与改进

公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用适当的方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。

选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，即从公司总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。

4．7．1 风险管理信息沟通渠道

公司应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。4．7．2 风险管理自我评估

公司各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改

进，其检查、检验报告应及时报送公司风险管理职能部门。

4．7．3 风险管理内控评估监督

公司风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本手册对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送公司总经理或其委托分管风险管理工作的高级管理人员。

5 控制活动

5．1 实施控制活动的基本要求

5．1．1 控制活动的分类

内部控制的组合方式或者分类形式，按照控制目标为标志，划分为会计控制和管理控制。5．1．1．1 会计控制部分，包括为保证与财务记录的完整性、客观性以及保证达到授权、会计核算和资产保护的目的而制定的控制标准。

会计控制的重要性：

(1)公司管理控制系统是一个完整的系统，包括公司运作的各个方面，因此，这个系统包括多种类型的控制，但各主要要素之间的关系十分密切。一方面，会计控制依赖于系统内许多其他部分的运作。另一方面，许多营运控制也依赖于确保财务信息准确的会计控制。

(2)许多控制行为都是围绕财务管理而建立的，或者最终与财务管理相关联，所以会计控制在内部控制系统中扮演着十分重要的角色，对公司的经济资源进行控制。

5．1．1．2 管理控制是公司管理层为实现其经营目标，保证国家法律和公司各项政策、程序的贯彻实施，保护公司财产的完整以及财务和其他各种经济信息的准确、及时、可靠，保证安全生产，通过建立及不断优化组织机构，合理分责和授权，在必要的制度、程序和内外部审计的监督下，使各功能单位相互协调、相互制约，有效运作的一种手段。

5．1．2 控制目标

控制目标既是管理经济活动的基本要求，又是实施内部控制的最终目的，也是评价内部控制的最高标准。在实际工作中，管理人员和审计人员总是根据控制目标建立和评价内部控制系统。因此，设计内部控制，首先应该根据经济活动的内容特点和管理要求提炼内部控制目标，然后据以选择具有相应功能的内部控制要素，组成该控制系统。

5．1．3 实施有效的控制活动

控制活动是公司为实现其经营目标而执行过程的一部分。通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列程序。

每个主体都有其自己的一套目标和执行目标的方法，因此，其子目标、结构和相关的控制活动也会不同。即使两个公司有同样的目标和结构，由于每个公司的管理人员都不同，不同的管理人员在影响内部控制时使用不同的个人判断，他们的控制活动也很可能不同。而且，控制活动还会受公司所处的环境和行业、公司的复杂性、公司的历史和文化的影响。

实施有效控制活动应至少做好以下工作：

(1)职责分派：一项经济业务的发生，其授权、批准、执行、记录等从头到尾由一个部门或一个人办理时，其发生错误或非法行为的概率趋于增大，因此两项及以上的功能必须分派。

(2)适当授权：授权分类有一般授权和特殊授权两种；授权结构包含范围、权限、程序、责任4项内容；授权主要类别有资金审批授权、合同签订授权、业务处理授权、价格制订授权、资产与信息接触授权。特别指出授权与批准的区别：授权是对一般交易或特殊交易的政策性制度决策；批准是对公司授权制度的具体执行。

(3)接触控制：要对实物与信息的接触控制，一般具体地指实物资产、会计文件、人事文件、经营战略规划、技术及商务机密、计算机设备、程序和数据等。

(4)文档记录：重要过程要被记录，形成文档(纸质和电子)，具体表现形式应根据业务内容不同而不同，可以是会议纪要、会计账簿等。形成文档需要进行控制描述，也就是将实施的控制活动以文字形式体现出来。一个较完整的控制描述应当包括以下五个要点：谁做(岗位)?做什么?怎样做?何时做?留下什么证据(记录、表单、报告等)?

(5)经营活动分析评价：要建立经营管理活动分析评价制度，定期开展经济活动分析和管理活动分析，分析评价运行的效率和效果、财务报表的可靠性、法律法规的遵循性。

(6)预算管理和绩效评价：根据战略规划，制定中长期发展计划，实施全面预算管理。在控制活动中，公司及所属各单位要全面突出强化预算管理体系，实行责任成本核算与分析。应事先核定各单位及各部门的成本构成和业绩目标，并给出预算指标，定期根据成本内容进行成本的计算和绩效分析与考核，这对完成绩效考核、降低管理成本，提高管理效率有重要的作用。

(7)独立稽核：要实施有效的审计、监督，确保数据真实可行，能有效支持生产经营的管理和决策。重点强调与财务报表和附注的真实性和准确性有关的控制；防止舞弊、欺诈行为的控制；资产安全的控制。

(8)确定重要或关键控制点：找出重点工作，并对关键控制点进行定期评价，提高经营效率和效果。

5．2 建立预算管理和经营活动分析评价制度

在控制活动中，公司以及各单位要突出强化全面预算管理体系，实行责任成本核算与分析，开展经营活动分析。在公司层面的控制中，实施全面预算管理和经营活动分析是最重要的一种控制，所以要建立全面预算管理和经营活动分析评价制度，形成闭环控制。经济活动分析侧重于行业、战略、燃料、产出、投入、利润、基建投资、财务情况分析，即阶段性经营成果和影响成果的因素分析。重点对财务报表中影响利润指标的价格因素、销量因素、成本因素及其他费用的变化进行分析，同时对财务报表的真实性进行核实等。

5．3 期末财务报告流程

考虑到其对于财务报告工作和财务报表的重要性，期末财务报告流程始终是一个重要的业务流程。因此，在对于财务报告的内部控制进行整体评估时，针对期末财务报告流程的控制设计和运行有效性进行评估是一个重要的步骤。

5．3．1 期末财务报告流程的内容

期末财务报告流程主要包括以下几个方面的内容：

(1)用于保证交易总额数据及时准确输入总账系统的程序；

(2)用于初始化、授权、记录和处理总账系统中的分录的流程；

(3)其他用于记录对年度和季度会计报表进行的经常性和非经常性调整的程序，例如：合并调整，报告的合并以及分类等；

(4)用于编制期末财务报表前的关账流程；

(5)编制年度和季度会计报表和相关信息披露的程序。

5．3．2 期末财务报告流程的评估范围

期末财务报告流程的评估范围主要包括：

(1)公司出具年度和季度会计报表时所涉及的自动和人工数据输入、执行的程序以及输出程序；

(2)信息技术在期末财务报告流程的每个部分的有效利用程度；

(3)管理层的参与人员；

(4)涉及的经营单位的数量；

(5)调整账目类型；

(6)包括管理层、董事会以及审核委员会的相关各方所实施的针对期末报告流程的监督的性质和程度；

(7)针对报表合并流程的控制；

(8)监督会计政策的选择和确定以及监督确保其实施的一致性的方法；

(9)报表合并流程中手工编制的表格和手工整理编辑的数据的使用情况。

5．3．3 会计政策选取、处理及报告

会计政策的选择和使用，以及确保会计政策在整个公司系统传达和执行的及时性、准确性和一致性，是期末报告流程的一个重要控制活动。公司应完善会计政策选取、有关会计处理和报告事项的管理制度，包括会计政策的制定、审批、传达、实施和监督的过程和相应的控制。

以下控制活动与选择和使用恰当的会计政策有密切关系，需要管理层在期末报告流程中予以重视：

(1)通过以下方式监督标准制定机构的活动和工作：通讯简报、数据库和网站；参与行业和专业委员会及会议；

(2)执行程序来确保新的会计政策能及时的应用并在整个公司范围内得到有效传达；

(3)确保有针对高风险账户和交易的相关政策；

(4)制定和记录会计政策；

(5)选用具备恰当经验和技能的人员；

(6)为负责政策实施的人员提供相关培训；

(7)关键的会计政策需要董事会的批准。

5．4 建立控制活动体系

在整个内部控制活动过程中，应建设并完善以下各项制度和标准：

(1)风险控制分析文档编制标准和模板；

(2)关键控制确认标准及审定程序；

(3)关键控制程序文件；

(4)涵盖上述标准的控制活动管理制度。

随着公司经营活动外部环境和内部管理的变化，风险评估的结果也会不断更新，当然控制活动就要随之发生变化。这就需要由相关部门针对新增或变动的风险进行判断：是否有新增的控制活动，已有的控制活动是否有变化，这些控制活动中哪些是关键控制。然后将这些新增或变化后的控制活动记录在风险控制文档中，并将识别出的关键控制加入风险控制文档，再体现在公司的制度文件中。这样，不断地更新和完善风险控制文档和关键控制文档就可以逐步建立起科学的控制活动制度体系。

6 信息与沟通

6．1 信息

这里所说的信息是指来源于公司外部及内部，与公司经营相关的财务及非财务的信息。包括从外部获取的行业、经济、监管信息以及内部产生的经营管理、财务等方面的信息。内部控制重点关注财务和内控相关信息。信息必须及时、准确地传递给需要的人，以帮助其行使各自的控制和其他职能。

6．1．1 内控关注要点

6．1．1．1 获取信息并向管理层报告

主要关注下列活动：

(1)完善获取相关外部信息的机制，如有关市场状况、竞争对手的动态、立法或监管的发展以及经济变化。

(2)对于实现公司目标的重要内部信息得到确认并定期汇报。

(3)各级管理人员得到了他们履行职责所需要的信息。

6．1．1．2 及时向适当的人员汇报足够的信息

主要关注下列活动：

(1)各级管理人员能够及时得到分析信息以便判断需要采取什么措施。

(2)向不同级别的管理人员汇报不同程度的信息。

(3)对信息进行适当的汇总，可以满足进一步详查的需要，而不仅仅是数据的堆砌。

(4)及时获取和传递信息，以利于有效监控有关事件和活动(内部的和外部的)并对经济、行业因素和控制问题进行迅速反应。

6．1．1．3 建立信息系统的战略规划

主要关注下列活动：

(1)各部门各单位负责识别不断产生的信息需求。

(2)信息的需求和优先次序由具有充分责任的高级管理层来决定。

(3)建立长远信息技术计划，并与战略决策相联系。

6．1．1．4 管理层对信息系统的支持态度

为建立或改进信息系统提供了足够的、必要的资源(管理人员、分析员、具备必要能力的编程人员)。

6．1．2 控制目标

完善能够识别、获得、处理和报告各种信息的体系。相关的信息包括从外部获取的行业、经济、监管信息，以及内部生产、经营、管理信息。

6．1．3 控制措施

6．1．3．1 完善信息系统总体控制体系

信息系统的总体控制是公司内部控制的一个重要组成部分。完善的总体控制能够确保由应用系统支持的自动控制和流程是可以依赖的，由应用系统生成的数据和报告是可靠的。6．1．3．2 归集描述并执行公司有关制度

公司内部控制关注的相关信息涵盖的范围以及管理规范内容包括：信息的种类、获取的渠道、信息的加工处理、信息需求的确定、相关部门的职责等。

(1)内部信息：

1)内部信息范围：财务政策信息(财务、会计、价格、资产、资金、关联交易等方面)、经营类信息、规章制度类信息、标准化信息、其他重要综合信息。

2)内部信息主要来源：公司各部门调研报告；财务管理报告；信息员搜集、反映；群众来信来访；内部刊物、资料；公司局域网；各种会议决议、记录、纪要等。

(2)外部信息：

1)外部信息的范围：国家法律法规，外部监管部门的要求，行业信息，客户和供应商的信息，其他信息。

2)外部信息的来源：外部监管方和上级的公文；公司采购、销售部门收集的市场和价格信息；从互联网、报刊杂志、广播、电视等多种渠道获取的信息；驻外办事处提供的信息、外部来信来访；去外地出差、开会、交流获得的资料、信息等。

6．2 沟通

沟通是指信息在公司内部各层次、各部门，在公司与客户、供应商、监管者和股东等外部环境之间的流动。有效的沟通必须广泛的进行，自上而下、自下而上地贯穿整个组织。所有人员都要从高级管理层获得明确的信息，必须认真对待控制责任。必须了解各自在内部控

制体系中担任的角色，以及个人行为与他人工作的相互关系。必须有自下而上传递重要信息的渠道和方法。同时，也要与客户、供应商、监管者和股东等外部人员建立有效的沟通。6．2．1 内控关注要点

6．2．1．1 向员工传达其职责和控制责任的有效性

主要关注下列活动：

(1)沟通方式(正式和非正式的培训、会议和工作中的监督)应能实现沟通的目的。

(2)员工应清楚他们的行为要达到的目标，以及他们的工作对于实现这些目标有什么作用。

(3)员工应清楚自己的职责与他人的职责如何相互影响。

6．2．1．2 公司内部是否充分交流

主要关注下列活动：

(1)营销部门应向工程、生产和营销人员反映客户需求。

(2)财务部门应定期将应收账款余额反馈给上级领导和营销部门。

(3)生产和营销部门(人员)应能了解竞争对手的信息。

6．2．1．3 沟通渠道应开放有效

主要关注下列活动：

(1)应存在与所有有关方面的反馈机制(例如，客户满意度调查表、供应商管理评审报告)。

(2)建议、投诉和收到的其他情况应建立记录并得到有效处理。

(3)必要的信息应向上级汇报并采取相应的跟进措施。

6．2．1．4 外部相关方了解公司道德标准的程度

主要关注下列活动：

(1)与外部的重要信息交流应由与该信息重要性程度相称的管理层人员进行(如：高级管理人员定期向外部书面解释公司的道德标准)。

(2)供应商、客户和其他方面应清楚公司在与其往来的活动中的标准和期望。

(3)在与外部的日常交往中应强调这些标准。

(4)其他公司员工的不当行为应向适当人员汇报。

6．2．1．5 管理层收到外部信息后应采取及时和适当的应对措施

主要关注下列活动：

(1)人员应善于接受他人就产品、服务或其他方面反映的问题，并且对此进行调查并采取适当的行动。

(2)在账单中出现的错误应得到了及时的纠正，并且就产生错误的根源进行了调查和纠正。

(3)应有适当的人员(独立于进行原始交易的人)处理收到的投诉。

(4)应采取适当的行为，并与原始信息提供者进行跟踪沟通。

(5)高级管理层应清楚投诉的性质以及数量。

6．2．2 控制目标

将信息提供给相关人员，以便于其履行职责，使沟通贯穿于信息处理的整个过程，有效的沟通不仅在整个公司内进行，也包括与外部进行的沟通。

6．2．3 控制措施

执行公司有关制度，对公司主要信息沟通渠道以及管理规范进行全面描述，内容包括：沟通的种类、沟通的渠道、相关部门的职责等。

6．2．3．1 内部沟通

内部沟通是指公司内部上下级之间、横向部门之间的沟通，责任部门有：

(1)人力资源部门：负责制定部门、岗位职责并宣贯，使员工清楚地知道本岗位履行内

《企业内部控制制度建设完善措施》

《企业内部控制制度建设完善措施》 1企业内部控制制度建设存在的主要问题 1.1管理层对内部控制意识薄弱。在现代企业制度下，企业的内部控制工作是对企业经营和管理的进一步规范和提升，但是我国的企业在内部控制体系的建设上仍然处于初期的发展阶段。目前，我国很多企业的管理层比较关注的是企业的业务规模、盈利情况而较少关注企业的规范管理和可持续发展情况，对内部控制工作的重视度不够。企业管理层的内部控制意识的薄弱会在很大程度上影响到企业内部控制制度建设的质量与效率。当前我国企业内部控制制度的现状分三个类型：一是部分企业没有建立相应的内部控制制度；二是一些企业虽然建立了内部控制制度，但内部控制制度并不完善；三是一部分企业虽有完善的内部控制制度，但在落实内控制度时却大打折扣、流于形式，影响了内部控制的严肃性和权威性。这些现象的出现，究其原因，还在于企业管理层的内部控制意识的薄弱，未能充分认识到内部控制制度对促使企业健康长远发展的重要性与必要性，使内部控制和内部控制工作难以得到有效的保障。 1.2内部控制制度设计不完善。建立和实施一套完善的、高质量的企业内部控制制度，可以维护企业资产安全，提升企业信息报告质量，不断提高企业的管理效率和经营业绩。目前，我国有些企业采用“拿来主义”建立了自己企业的内部控制制度，并未考虑企业之间的组织机构、管理流程及生产流程都有较大的差异，不充分考虑该内部控制制度在本企业的适宜性；有的企业内部控制制度建立的不完善，

没有形成整体系统，没有建立自我防范和约束机制，缺乏有效的现代企业治理机制，达不到国家财经法规和相关制度对内控制制度的要求。 1.3风险防范机制不完善。风险防范机制是提高企业内部控制效率和效果的关键。因此，企业要通过增强风险防控意识，建立完善的风险防控机制，有效识别企业的各种潜在风险，采取有效措施应对各种潜在风险，避免企业潜在风险因素的发生，不断增强企业的风险防范能力，提升企业的市场竞争力。目前，我国有相当一部分企业其风险意识未提高到应有的高度，企业管理层缺乏风险概念，许多企业没有设置风险机制，因此抗风险能力低下；还有部分企业的风险管理局限于少数业务具体部门，没有渗透到企业经营管理的各相关环节，没有形成整体风险、局部风险、长期风险、短期风险等一系列有效的风险管理机制，不利于企业的长期可持续发展。 1.4内部控制的监督和评价体系不完善。第一，很多企业的内部控制缺乏量化的评价指标体系，企业控制活动流于形式，停留在文件层面。第二，对内部控制的执行情况缺乏定期的检查、监督。很多案例表明，许多问题的发生并不是因为没有制度，而是因为没有严格执行制度，而制度的严格执行需要企业对内部控制的执行情况定期的检查和监督。第三，企业内部控制的考惩机制不健全、不完善，缺乏有效的激励或制约机制。绩效考核机制是检验企业内部控制制度的落实情况、衡量企业内部控制工作的重要指标。目前我国很多企业的绩效考核机制流于表面，未能做到与内部控制制度相结合，使得我国企业

建设项目管理内部控制制度

建设项目管理内部控制制度 第1条单位应当建立健全建设项目内部管理制度。 单位应当合理设置岗位，明确内部相关部门和岗位的职责权限，确保项目建议和可行性研究与项目决策、概预算编制与审核、项目实施与价款支付、竣工决算与竣工审计等不相容岗位相互分离。 第2条单位应当建立与建设项目相关的议事决策机制，严禁任何个人单独决策或者擅自改变集体决策意见。决策过程及各方面意见应当形成书面文件，与相关资料一同妥善归档保管。 第3条单位应当建立与建设项目相关的审核机制。项目建议书、可行性研究报告、概预算、竣工决算报告等应当由单位内部的规划、技术、财会、法律等相关工作人员或者根据国家有关规定委托具有相应资质的中介机构进行审核，出具评审意见。 第4条单位应当依据国家有关规定组织建设项目招标工作，并接受有关部门的监督。 单位应当采取签订保密协议、限制接触等必要措施，确保标底编制、评标等工作在严格保密的情况下进行。 第5条单位应当按照审批单位下达的投资计划和预算对建设项目资金实行专款专用，严禁截留、挪用和超批复内

容使用资金。 财会部门应当加强与建设项目承建单位的沟通，准确掌握建设进度，加强价款支付审核，按照规定办理价款结算。实行国库集中支付的建设项目，单位应当按照财政国库管理制度相关规定支付资金。 第6条单位应当加强对建设项目档案的管理。做好相关文件、材料的收集、整理、归档和保管工作。 第7条经批准的投资概算是工程投资的最高限额，如有调整，应当按照国家有关规定报经批准。 单位建设项目工程洽商和设计变更应当按照有关规定履行相应的审批程序。 第8条建设项目竣工后，单位应当按照规定的时限及时办理竣工决算，组织竣工决算审计，并根据批复的竣工决算和有关规定办理建设项目档案和资产移交等工作。 建设项目已实际投入使用但超时限未办理竣工决算的，单位应当根据对建设项目的实际投资暂估入账，转作相关资产管理。 第9条本制度自2018年1月1日起施行。

内部控制信息系统建设方案 (2)

内部控制信息系统建设方案 为了整合和优化内部控制系统，利用信息化手段建设单位内部控制体系，特制定本方案。 （一）内部控制信息系统建设的基本模式 1.独立模式 即建立独立运行的内部控制信息系统。建立独立的内部控制信息系统、便于单位管理层和内部控制职能部门使用该系统开展内部控制设计与运行工作。该模式常见于单位内部控制体系建设初期，通常需将系统开发工作外包给有丰富内部控制管理系统开发经验的第三方软件公司，对单位自身的信息化水平要求不高，但随着单位内部控制体系建设工作的深入，需要将内部控制信息系统与单位管理信息系统、业务系统进行集成，实现内部控制信息系统的拓展及与其他系统的融合。 2.整合模式 即利用现有管理系统进行整合。整合模式是指将多个与内部控制密切相关的管理系统和业务系统与内部控制信息系统进行集成，形成单位整体的管控体系。比如，单位在内部控制信息系统中建立流程管理、风险管理、控制点管理、

自我评价管理、缺陷整合管理和内部控制报告等核心模块及功能，并建立该系统与单位ERP系统、办公系统、流程管理系统、审计系统、绩效考核系统、综合报告系统等管理系统和业务系统的集成关系，实现内部控制信息系统与其他各类系统的数据共享。整合模式下，内部控制信息系统与单位管理信息系统和业务系统的边界逐渐模糊，内部控制将完全融入单位的管理决策和日常经营活动之中。 3.附加模式 即在现有管理系统中增加内部控制管理功能。对于内部控制信息基础较好，且有较强自主开发能力的单位，可以采用附加模式对已有系统进行升级改造，比如，单位可以在已有审计系统或流程管理系统基础上，增加内部控制管理功能模块。附加模式可利用已有的信息技术基础和管理基础，开发成本较低，但内部控制管理功能模块后续扩展可能会受到原系统架构和现有开发能力的限制。 （二）内部控制信息系统建设的主要步骤 单位内部控制信息系统建设应当以较为完善的内部控制体系建设为基础和起点。单位在开展内部控制体系建设的同时规划内部控制信息系统建设，一般采用以下四个步骤： 1.内部控制体系建立 单位根据内部控制规范体系的要求，结合业务现状以及相关业务流程，梳理单位内部业务流程、主要风险及控制点，

公司内部控制制度建设及执行的效率和效果工作总结

公司内部控制制度标准化工作总结 为了适应公司全国性布局与规范管理的发展要求，贯彻中建总公司、局内部控制标准化发展战略，公司于2009年8月结合“决策与业务流程优化及组织再造”启动了内部控制制度标准化工作。2010年3月出台《公司管理手册》、《各系统标准管理手册》共11本。2011年发布了《搅拌站标准管理手册》、《生产作业指导书》、《技术作业指导书》、《人财物及后勤作业指导书》、《搅拌站记录表样》。公司继搅拌站标准化完成后，紧接着于2011年5月启动了分公司标准化建设，目前已完成《分公司标准化手册》，2012年4月试运行。现已建立起总部—分公司—搅拌站三个层次的一套高效、科学的内控管理流程标准化体系，实现公司管理无缝连接。 近三年来，公司在内控体系的贯彻上，突出“执行”二字，重在“狠”、“严”上下功夫，多次邀请三局领导和外部专家进行了内部流程制度评审与指导修订，有效地实现了防范风险的目的，而且推动了公司各项管理的规范化、制度化、标准化、程序化，促进了公司管理水平的提升。主要体现在以下几个方面： 一、强化内控执行、按程序办事的规矩日渐形成 公司根据内控要求，结合自身管理存在着有章不循、执行力不强的现象，进行了对照检查，找出了差距和不足。为此，公司采取了一系列举措，以确保内控体系执行有力。 加强培训，注重宣贯，确保手册相关内容人人掌握。开展以集中学习和分散学习相结合，标准学习与案例分析相结合，全面学习

和重点学习相结合，培育标准化企业文化，增强标准化意识。各单位召开“达标活动”推进动员会，统一思想，提高认识，全面安排部署。由公司各系统部门从内部选举标准内部培训师，按标准手册制作PPT培训课件，进行专业标准制度宣贯培训。将标准制度中相关内容，编成相关工种的培训资料制作成岗位操作规程上墙等活动，为内控体系的有效执行奠定了扎实的基础。 健全内控工作网络，确保组织机构落实。公司成立了内控标准化体系工作领导组（内控制度方向把关）、评审组（内控制度质量把关）、工作组（内控制度编制），进一步加强了内控工作组织领导和机构落实。 狠抓落实，层层负责，确保流程控制实现真正的落地。为了使内控真正落到实处，公司制定《公司标准化管理办法》、《星级搅拌站评定管理办法》，明确标准化各级、各部门的职责，规定企业标准的制定、宣贯实施及监督检查考核具体方法措施。主要有：（1）与“创先争优”和“标准化青年先行”工作相结合，开展技能比武、知识竞赛等多种形式。为进一步推进标准化管理工作，公司将《搅拌站管理手册》中厂站标准化管理内容，开展知识竞赛，武汉事业部、成都分公司、天津分公司、设备运输分公司、西安筹备组分别组队，参加了竞赛。 （2）搅拌站星级评定。为推进公司搅拌站各项业务标准化，夯实搅拌站基础管理，公司根据分级管理与激励的需要，设置“达标搅拌站、三星、四星、五星级搅拌站”四个等级开展星级评定。每季度，分公司星级评定小组组织所属搅拌站对照《考评标准》，对各

xxx单位内部控制基本制度(试行)

xxx单位内部控制基本制度（试行） 第一章总则 第一条为贯彻落实依法治国基本方略，建设法治机关，提高内部管理水平，规范内部控制，有效防控廉政风险和业务风险，根据有关法律、行政法规和《行政事业单位内部控制规范（试行）》，按照分事行权、分岗设权、分级授权，强化流程控制、依法合规运行的要求，结合我委工作实际，制定本制度。 第二条本制度所称内部控制，是指为实现控制目标，通过查找、梳理、评估xx业务工作中的各类风险，制定、完善并有效实施一系列制度、流程、程序和方法，对xx业务工作风险进行事前防范、事中控制、事后监督和纠正的动态过程及机制。 第三条本制度适用于市本级xx业务中政策法规管理、预算业务管理、收支业务管理、政府采购业务管理、资产管理、建设项目管理、合同管理、会计业务管理、机关决策运转及信息系统管理和人事管理等各项工作的内部控制活动。 第四条xx工作内部控制目标： （一）合法性。各项政策与规定制度符合国家有关法律法规并得到有效贯彻执行，各项xx业务活动遵循法定程序与工作纪律。 （二）安全性。各项xx工作在预定流程中运行，确保有章可循、有规可依，防范舞弊和预防腐败，最大限度保障资

金和干部安全。 （三）效率性。提高工作质量和效率，有效履行xx职能，贯彻落实好党中央、国务院、省委、省政府和市委、市政府的决策部署。 （四）效益性。科学配臵xx资源，提高xx资金的有效性，实现支出效益的最大化。 第五条内部控制主要因素： （一）内部环境。包括管理结构、机构设臵及职权分配、内部监督检查、干部队伍建设、机关文化等。 （二)风险评估。及时识别分析工作中与实现内部控制目标相关的内部风险和外部风险，对风险进行评估、分级，合理确定风险应对策略。 （三）控制活动。根据风险评估结果，采取相应的控制措施，将风险控制在可承受范围之内。 （四）信息沟通。加强信息系统建设，及时准确全面地收集、处理、传递与内部控制相关的信息，确保信息在委内以及我委与外部之间进行有效沟通和应用。 （五）内部监督。对内部控制机制的建立和运行情况进行监督检查，评价内部控制的有效性，发现内部控制设计和运行的缺陷并督促改进。 第六条建立和实施内部控制，应遵循以下原则： （一）全面性原则。内部控制贯穿于决策、执行、监督、改进和反馈全过程，贯穿各项xx工作流程和各个环节，覆盖所有科室和岗位，并由全体干部职工参与。任何决策或业务均应做到过程留痕、责任可追溯。

内部控制体系基本框架

部控制体系基本框架 目次 1 总则．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 1．1 编制目的……………………………………… 1．2 编制依据……………………………………… 1．3 编制原则……………………………………… 1．4 主要应用……………………………………………………………………… 1．5 主要容………………………………………………………………………… 1．6 控制的原则……………………………………………………………………… 1．7 控制的职责……………………………………………………………………… 2 框架基础……………………………………………………………………………… 2．1 公司愿景………………………………………………………………………… 2．2 公司使命………………………………………………………………………… 2．3 公司战略………………………………………………………………………… 2．4 经营理念………………………………………………………………………… 2．5 企业文化………………………………………………………………………… 2．6 核心价值观……………………………………………………………………… 2．7 公司与政府的关系……………………………………………………………… 2．8 公司与投资方的关系…………………………………………………………… 2．9 公司与员工的关系……………………………………………………………… 3 控制环境……………………………………………………………………………… 3．1 公司治理架构…………………………………………………………………… 3．2 管理理念及经营风格…………………………………………………………… 3．3 组织结构………………………………………………………………………… 3．4 诚信与道德价值观……………………………………………………………… 3．5 权责分配体系…………………………………………………………………… 3．6 人力资源政策及实施…………………………………………………………… 4 风险管理……………………………………………………………………………… 4．1 风险管理容…………………………………………………………………… 4．2 风险管理目的…………………………………………………………………… 4．3 风险管理信息的采集………………………………………………………… 4．4 风险评估……………………………………………………………………… 4．5 风险管理策略………………………………………………………………… 4．6 风险应对措施………………………………………………………………… 4．7 风险管理的监督与改进……………………………………………………… 5 控制活动…………………………………………………………………………… 5．1 实施控制活动的基本要求…………………………………………………… 5．2 建立预算管理和经营活动分析评价制度…………………………………… 5．3 期末财务报告流程…………………………………………………………… 5．4 建立控制活动体系…………………………………………………………… 6 信息与沟通………………………………………………………………………… 6．1 信息……………………………………………………………………………

新COSO内部控制整体框架介绍-王怡心

2013.3中国内部审计 一、背景说明 COSO 委员会于1992年发布了《企业内部控制整体框架》，亦即所谓的旧框架，并于1994年进 行了一些内容增 补。该框架逐渐得到世界 各国内部控制准则制定机构的认同,成为国际通用的内部控制准贝■特别是为遵 循美国〈萨班斯法案》（Sarbanes-Oxley Act,2002中有关财务报告内部控制的要求，在美国上市公司都以COSO 框架为准则来设计企业内部控制体系，进一步推动了C O S O 内部控制框架在世界各国的广泛 应用。台湾于2002年 11月18日发布的《公开发行公 司建立内部控制制度 处理准则》,经过六次修订，最新版本于2011年12月21 日发布,也 是在借鉴COSO 内部控制框架的基 础上,结合台湾内部控制落 实条款制订而成的。 自旧框架发布以来,企业的经营环境和管理模式发生巨大变化,新的科技应用和 复杂组织结构以及愈加严格的治理要求，促使企业在满足COSO 旧框架的营运、合规、财务报告内部控制目标的基础上，越 来越重视公司治理和风险管理，关 注范围扩及非财务报告的内部控制。此外，近年来由于内部控制失效而 发生的一 系列舞弊事件以及金融危机的破坏性影响，也要求加强和完善内部控制准 则。 为顺应形势要求,2010年9月COSO 委员会启动了对《企k 内部控制整体框架》的审核与更新，并聘请 41 两岸交流

新COSO内部控制整体框架介绍 王怡心 普华永道会计师事务所（PWC作为项目计划执行单位，着手新框架的 制订工作。为确保能够广泛代表各方意见,coso 委员会还成立了一个由实务界、学术界、政府机构和非营 利组织代表们组成的顾问委员会,提供咨询意见0 2010年9月至2011年1 月,COSO 委员会对700多个旧框架的使用者进行问卷调查。结果显示,回应意见大部分支持对旧框架进行修订和更新,但不建议重新再造新框架。2011年12月,COSO 委员会发布了新框架的征求意见稿来公开征求意见。 二、新框架的改变重点 C O S O 委员会认为旧框架中关 于内部控制的基本原则和核心要素在现有环境下仍然有效,所以新框架在内部控制的定义、内部控制五大要素（控制环境、风险评估、控制活动、信息与沟通和监督、评估内部控制体系有效性的标准以及专业判断的运用等方面与旧框架保持了一致。针对内部控制的认知和实践方面,旧框架的重点在于“知悉与建立”新,框架的重点在于“承诺与落 实” ,请参阅表二的COSO 新旧原则比较表。新框架的变化主要呈现在以下几个方面:（一着重“原则导向”的方法新框架最显著的变化是在旧 框架的基础上,提出基于内部控制五大要素的17项总体原则（请 参阅表一和82个相关属性,其内容为部分延续、部分新增、部分

内部控制体系建设实施方案

XX公司内部控制 体系建设实施方案 为贯彻落实相关文件精神，XX公司（以下简称“公司”）进一步明确职责、分解任务、落实责任，确保内部控制体系建设顺利进行，制定本实施方案。 一、组织体系及职责 公司内部控制体系是在总经理领导下建设和实施，为进一步加强内部控制体系建设的组织领导，公司成立了以总经理为组长的内部控制体系建设领导小组，明确了领导小组及其办公室职责。 （一）领导小组与办公室职责 领导小组职责：学习贯彻国资委、航天科技集团公司和XX集团关于内部控制体系建设有关精神，统一思想、提高认识；审定内部控制体系建设实施方案，部署内部控制体系建设工作；提供人、财、物等资源，保障内部控制体系建设开展；指导、检查内部控制体系建设的实施、运行和内部控制建设期的评价工作；负责内部控制体系建设重大事项决策，研究、解决内部控制体系建设中的重大问题；负责内部控制体系建设阶段成果总结、组织建立长效机制。 办公室职责：贯彻执行领导小组决策和部署，组织制定公司内部控制体系建设实施方案和工作计划，编制经费专项预算方案；组织开展内部控制体系建设实施方案的落实；组织开展内部控制体系运行、建设期的评价、学习、培训、调研，宣传报道和信息报告等工作；完成领导小组交办的其他事项。 （二）牵头部门职责 1.财务部为内控体系建设工作牵头部门

主要职责：研究起草公司内部控制体系建设实施方案及工作计划；组织实施内部控制体系建设实施方案；向XX集团报送内部控制体系建设情况；其他相关工作。 2.党群工作部为内控体系建设监督评价工作牵头部门 主要职责：组织内部控制体系建设相关业务培训；组织编制并更新《内部控制手册》；开展单位内部控制评价；对单位内控体系建设进行检查；其他相关工作。 （三）各业务部门职责 各业务部门职责：按照业务分工和职责，负责本部门职责范围内的内部控制建设工作，结合内部控制目标，负责梳理相关规章制度，提出规章制度制（修）订计划，并修改完善；查找经营管理风险点，评估风险影响程度；结合相关规章制度，建立和完善管理程序和业务流程，明确关键控制点和控制措施；负责运行和持续改进主要业务流程。各部门职能分工表见附件1。 （四）监督部门职责 党群工作部作为监督部门，主要职责：根据集团公司制定的内部控制评价、内部控制审计等管理制度，结合航天科技集团公司内部控制评价标准，对内部控制建立与实施情况进行监督检查，评价内部控制有效性，发现内部控制缺陷，并提出整改建议。 二、任务分解 根据《中国航天科技集团公司内部控制体系建设总体方案》，按照各部门职能定位，进行任务分解，落实责任。各部门在建立与实施有效的内部控制体系时，应当包括内部环境、风险评估、控制活动、信息与沟通和内部监督五大要素。建设任务计划表见附件2。

企业内部控制制度建设.doc

企业内部控制制度建设 企业内部控制制度（以下简称“内控制度”）作为企业生产经营活动自我调节、自我约束的内在机制，在企业管理系统中具有举足轻重的作用。内控制度的建立、健全及实施情况的好坏，是企业生产经营成败的关键。 一、企业内控制度建立原则 １、相互牵制原则：企业每项完整的经济业务活动，必须经过具有互相制约关系的两个或两个以上的控制环节方能完成。在横向关系上，至少由彼此独立的两个部门或人员办理以使该部门或人员的工作受另一个部门或人员的监督；在纵向关系上，至少经过互不隶属的两个或两个以上的岗位或环节，使下级受上级监督，上级受下级牵制。对授权、执行、记录、保管、核对等不兼容职务要相互分离控制。 ２、协调配合原则：各部门或人员必须相互配合，各岗位和环节都应协调同步，各项业务程序和办理手续需要紧密衔接，以保证经营管理活动的有效性和连续性。协调配合原则是相互牵制原则的深化和补充。贯彻这一原则，尤其要避免只管牵制错弊而不顾办事效率的机械做法，必须做到既相互牵制又相互协调，从而在保证质量、提高效率的前提下完成经营任务。 ３、程序定位原则：企业应该按照经济业务的性质和功能将其经营管理活动划分为若干个具体工作岗位，并根据岗位性质相应地赋予职责权限，规定操作程序，明确检查标准，责、权、利统一。形成事

事有人管、人人有专职、办事有标准、工作有检查，以此定出奖罚制度，增加每个人的事业心和责任感，提高工作效率。 ４、成本效益原则：实行内部控制的成本要低于由此产生的收益，力争以最小的控制成本取得最大的经济效益。 ５、层次效益原则：正确处理企业内部控制层次与工作效率的关系，防止以增加层次的“人海战术”来获得较好内控效果的现象。以高效、有用为出发点，合理设置内控层次（或人员），明确各个层次的职责权限，强化各相应层次的责任心，提高企业内部控制的有用性和效率性。 二、企业内控制度的主要内容 １、结构控制。内部控制制度的建设及有效运行，有赖于企业内部良好的法人治理结构。现代企业的所有权与经营权的分离，使得客观上需要明确股东会、董事会、监事会和经理层的职责，以保障有关各方的合法权益。董事会维护出资人权益，对股东大会负责，对公司的发展目标和重大经营活动做出决策；监事会对董事会、公司的财务工作及经营者执行法律和公司章程情况进行监督；同时还应设立满足企业监控需要的职能机构如审计部、稽查部，对董事会负责并在业务上受监事会指导。推行职务不兼容制度，杜绝高层管理人员交叉任职，形成各负其责、协调运转、有效制衡的法人治理结构，保证企业的正常运转。 ２、授权批准控制。授权批准是指单位在处理经济业务时，必须以授权批准来进行控制。在公司制企业中，一般由股东会授权给董事

建设单位内部控制制度项目建设管理制度

建设项目管理制度 第一章总则 第一条为保证本单位所有工程项目的建筑质量，对工程项目施工过程进行有效控制，确保工程项目符合有关规范和要求，最大限度的节约建设资金和发挥投资效益，特制定本制度。 第二条本制度适用于本单位所有工程。 第二章组织管理体系 第三条为了加强本单位基本建设的宏观管理，科学合理的安排工程项目，本单位就具体工程项目成立管理处，管理处负责对该制度进行具体实施。 第四条管理处职责： （一）根据生产、工作、生活的需要，研究决定基本建设项目及投资； （二）研究决定管理处领导和各部门负责人临时提出的急需建设的单项工程； （四）研究决定工程设计的重大变更； （五）管理处领导组织每季度召开一次会议，听取项目情况汇报，研究决定工程项目方面的重大问题，如有特殊情况可临时召开，会议的时间、内容、地点、参加人，由管理处请示分局领导决定，办公室负责会议的通知，记录并及时编写会议纪要，管理处方面记录由管理处同志负责记录并整理； （六）管理处会议由主任主持召开，主任外出由工程部负责人主持召开。 第五条管理处下设工程部、计划投资部，是项目的执行部门，负责项目的管理和具体实施工作。 第六条工程部职责： （一）贯彻落实基本建设的法律、法规、条例、规定、规范及技术标准； （二）收集相关资料，为领导组决策工程项目、投资、预决算、重大设计变更提供尽量详细必要的依据； （三）提出工程项目立项的建议，组织实施工程项目的设计、预算、工程质量监理、验收、决算等管理工作。

（四）参加工程项目的招议标工作，凡单位符合条件的工程项目必须进行招议标； 工程项目的招议标由单位负责领导提出申请，由管理处负责组织。 招议标参加人员：单位负责人、项目负责人、安全负责人、生产负责人、财务负责人、监察负责人、办公室负责人。其他参加人员由单位领导班子成员开会研究决定。所有工程项目招议标后，必须签订合同书，合同书必须遵守国家合同法，所有参加人员都必须签名。 （五）工程完工后，组织工程验收； （六）工程验收后，及时审查施工方决算和施工资料，确保工程资料（尤其是保证资料）的齐全完整，并及时入档保存。 （七）加强对工程监理单位的管理和协调，加强对本单位项目管理人员的管理、考核和培训，确保工程的质量、进度及款项拨付。 （八）及时召开有关方面参加的联席会议，研究解决工程项目开展中存在的问题，交流管理经验，协调好有关各方的关系。 第三章项目立项及审核管理 第七条管理程序 项目申报部门根据单位需求、技术需求向单位主管部门提交项目立项申请报告，经单位负责人召开办公会议研究决定后，由生产股组织编写《项目可行性研究任务书》。生产股根据《项目可行性研究任务书》要求，进行调研和可行性研究，组织编制《项目可行性研究报告》 1、项目可行性评审 分管领导及管理处主任组织实施项目的协调和评审相关工作。对《项目可行性研究报告》内容初审，并及时向单位负责人及上级领导汇报，审核通过后，及时组织相关单位及相关人员编制《项目立项评审报告》。 2、立项的批准 生产股将《项目可行性研究任务书》、《项目可行性研究报告》、《项目立项评审报告》送交单位负责人、分管领导审查，交由上级领导及相关单位批准。 3、立项结束 生产股将立项文档归档备案。

公司内控体系建设实施方案

北汽广州公司 内控体系建设实施方案 （讨论稿） 企业管理部 二〇一三年十二月

一、目的 为进一步加强和规范北汽（广州）汽车有限公司内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,公司特制定《北汽（广州）汽车有限公司内部控制体系建设实施方案》,实施内部控制体系建设工作。 二、主要内容 按照北京市国资委“京国资发【2013】13号”《关于构建市属国有企业内部控制体系有关事项的通知》和北京汽车集团有限公司“京汽集政企字【2013】823号”《关于成立集团公司内控体系建设领导小组和工作小组的通知》要求,此次内控建设具体包括组织架构、发展战略、人力资源、企业管理、采购业务、资产管理、财务报告、全面预算、合同管理、审计、法务、内部信息传递和信息系统等在内的公司运营管理的各个方面。 三、组织机构保障 为确保公司内控建设工作顺利推进,保证内控机制有效运行,公司将设立内控建设领导小组和内控建设执行小组，待领导过会讨论通过后实施。 内控建设领导小组组长由公司总经理担任,是公司内控体系建设的第一责任人。内控建设领导小组对内控工作实施进行全面领导、决策、部署和指挥。 内控建设领导小组下设内控建设执行小组,内控建设执行小组组长由企业管理部部长担任，执行小组负责内部控制体系建设工作的具体开展。

内控建设领导小组 组长：王璋 副组长：郗建国王志芳兰纪红郭长义 成员：李红马庆恒熊买宝杜来成马学义叶春雷寇伟马铁利罗云坤李建伟张万涛何新康朱鸿岸邝军生 主要职责： 1)负责确定本次内控体系建设的范围； 2)负责明确本次内控体系建设的总体目标； 3)负责确定本次内控体系建设的整体部署； 4)负责本次内控体系建设的其他内容。 内控体系建设执行小组 组长：李红 成员：王益华冯葵钟志球黄建安宋振涛熊学兵朱亮赖学明张万涛陈志忠黄栋郑国平何伟聪陈永新 主要职责： 1）负责内控体系建设成员的职责分工； 2）负责确定本次内控体系建设的具体时间安排； 3）负责组织公司内部资源的协调,并积极与外部咨询机构的对接、沟通、协调； 4）负责审核本次内控体系建设费用预算； 5）负责本次内控体系建设的其他实施工作。 6）内控体系建设执行小组办公室设在企业管理部，是在内控体系建设

单位内部控制制度建设问题

单位内部控制制度建设问题 一、单位内部控制制度建设的现状及存在的问题 瞬息万变的市场加剧了企业之间的竞争，高科技的广泛应用带来了新的经营风险，要想生存和发展，就必须加强管理，提高效益，充分认识到内部控制制度的重要性。国家以法律的形式将内部控制制度的建设提到了一个前所未有的高度。新《会计法》明确规定各单位应建立健全内部控制制度，并提出了具体内容。实际生活当中，许多单位已把建设并完善内部控制制度作为一项重要任务常抓不懈。如山东亚星集团，制定的内部控制制度特别多，主要抓了购入、销售环节的内部控制，取得了很好的经济效益。但从目前来看，内部控制制度的建设还存在着一些问题。 (一)法人治理结构不规范 内部控制制度的建设及有效运行，有赖于企业内部良好的法人治理结构。现代企业的所有权与经营权的分离，使管理范围增大，管理层次增多，管理职能逐步分解，客观上需要一个规范的法人治理结构，加强内部控制，以保障所有者、经营者、债权人等的合法权益。在股份制公司，存在着股东大会、董事会、监事会，其中股东大会选举产生董事会，董事会要维护出资人权益，对股东大会负责。董事会对公

司的发展目标和重大经营活动作出决策，聘任经营者，并对经营者的业绩进行考核和评价。监事会对董事会、公司的财务工作及经营者执行法律和公司章程情况进行监督。这样构成了一个协调运行、相互制衡的内部治理结构，它有助于相互制约、相互监督，保证企业的正常运转。 但是，近年来，国有企业改制以后，虽然形式上也建立了法人治理结构，但远未达到内部权力制衡的效果。很多公司内部董事长、总经理由一人担任，董事担任监事的也屡见不鲜。许多国有企业的董事会成员大多由企业的经理人员担任，董事会难以发挥监督经理人员的作用。监事会成员的薪水和职位的升迁大都由总经理或董事长决定，使监事会形同虚设，难以有效发挥其监督职能。财务会计信息系统的运作受企业经理的直接领导，财务监督被架空。相互制衡的法人治理结构无法建立，内部控制制度不能有效运行，于是“官出数字，数字出官”的现象不可避免。会计信息失真，专权独断，贪污腐败等现象产生，阻碍了企业的发展，影响了经济秩序，是假数字、假报表出笼的重要原因之一。 (二)有法不依、有章不循、执法不严的现象较为严重 内部控制制度重在执行，其中人的因素至关重要。有的单位内部控制制度建设得较为完善，但由于单位领导人不够重视，或执行人员

COSO内部控制整体框架简介

COSO内部控制整体框架简介 1992年美国反虚假财务报告委员会管理组织（COSO）发布了《内部控制—综合框架》以帮助企业和其他实体评估并加强内部控制系统。此后，《内部控制—综合框架》被首席执行官、理事会成员、监管者、准则制定者、职业组织以及其他人士视为内部控制方面合理的综合框架。 同时，财务报告和相关立法以及监管环境也发生了变革。值得注意的是，2002年美国颁布了《萨班斯法案》。其中，《萨班斯法案》第404号条款要求公众公司管理层每年对其财务报告内部控制的效果进行评估和报告。 随着情况的发展和时间的推移，这项框架到今天仍然是有效的，遵从《萨班斯法案》第404号条款的各种规模的公众公司管理层仍继续沿用。然而，较小型公众公司在面对执行第404号条款的挑战时，承受了意料之外的成本。为了指导较小型公众公司执行第404条款，美国反虚假财务报告委员会管理组织于2006年发布了《较小型公众公司财务报告内部控制指南》（以下简称《指南》）。 《指南》并非是对《内部控制—综合框架》的取代亦或修改，而是就如何应用提供了指导。就如何按照成本效率原则使用《内部控制—综合框架》设计和执行财务报告内部控制方面，《指南》为较小型公众公司提供了指导（当然《指南》也同样适用于大型公司）。尽管《指南》本意上是为了帮助管理层建立和维持财务

报告内部控制的有效性而制定的，但它同样有助于管理层按照监管者的评估要求对内部控制效果进行更有效率地评估。 《指南》分为三部分，第一部分是概要，向公司董事会和高层管理人员介绍了整个文件的主要内容。 第二部分介绍了较小型公众公司在财务报告内部控制方面的主要观点，其中描述了公司的特征，这些特征是如何影响内部控制的、较小型公众公司面临的挑战以及管理层如何使用《内部控制—综合框架》。此外，还从《内部控制—综合框架》中提炼了20个基本原则，并介绍了较小型公众公司以符合成本效率的方式应用这些原则的相关态度、方法和实例。 第三部分提供了解释性工具以帮助管理层对内部控制进行评估。管理者可能会使用这些解释性工具以确定公司是否已有效地应用了这些原则。 高层管理人员将对第一部分“概要”和第二部分“主要观点”的概述章节比较感兴趣，并在必要的情形下参考第二部分的其它章节，而其他管理人员将把第二部分“主要观点”和第三部分“解释性工具”作为指导其具体工作的指南。 一、“较小型”公众公司的特征 尽管人们希望能够在小型、中型和大型公司之间划定一条的“清晰的界限”，但《指南》并未提供此类定义。它使用了“较小型公众公司”而非“小型公众公司”，这意味着《指南》适用于更大范围内的公司。《指南》对“较小型公众公司”的特征作

建设项目管理内部控制制度

建设项目管理内部控制制度 第一条单位应当建立健全建设项目内部管理制度。单位应当合理设置岗位，明确内部有关部门和岗位的职责权限，确保项目建议和可行性研究与项目决策、概预算编制与审核、项目实施与价款支付、竣工决算与竣工审计等不相容岗位相互分离。 第十五条单位应当建立与建设项目有关的议事决策机制，严禁任何个人单独决策或者擅自改变集体决策意见。决策过程及各方面意见应当形成书面文件，与有关资料一同妥善归档保管。 第二条单位应当建立与建设项目有关的审核机制。项目建议书、可行性研究报告、概预算、竣工决算报告等应当由单位内部的规划、技术、财会、法律等有关工作人员或者根据国家有关规定委托具有相应资质的中介机构进行审核，出具评审意见。 第三条单位应当依据国家有关规定组织建设项目招标工作，并接受有关部门的监督。单位应当采取签订保密协议、限制接触等必要措施，确保标底编制、评标等工作在严格保密的情况下进行。 第四条单位应当按照审批单位下达的投资计划和预算对建设项目资金实行专款专用，严禁截留、挪用和超批复内容使用资金。单位财会和项目管理部门应当加强与建设项目承建单位的沟通，准确掌握建设进度，加强价款支付审核，按照规定办理价款结算。实行国库集中支付的建设项目，单位应当按照财政国库管理制度有关规定支付资金。 第五条单位应当加强对建设项目档案的管理。做好有关文件、材料的收集、整理、归档和保管工作。 第六条经批准的投资概算是工程投资的最高限额，如有调整，应当按照国家有关规定报经批准。单位建设项目工程洽商和设计变更应当按照有关规定履行相应的审批程序。 第七条建设项目竣工后，单位应当按照规定的时限及时办理竣工决算，组织竣工决算审计，并根据批复的竣工决算和有关规定办理建设项目档案和资产移交等工作。建设项目已实际投入使用但超时限未办理竣工决算的，单位应当根据对建设项目的实际投资暂估价值入账，转作有关资产管理。 第八条单位根据国家有关法律法规和本制度，建立适合本单位业务特点和管理要求的内部控制制度，并组织实施。 第九条本制度自即日起施行。

COSO内部控制整体框架(5要素)简介

COSO内部控制整体框架 水门事件后，内部控制理论引起了美国各界的广泛重视。然而，对内部控制的理解分歧却由来已久，立法者、监管者和商人的不同利益决定了各自不同的立场。90年代初成立的COSO(Committee of Sponsoring Organization)，开创性地提出了一套成体系的内部控制整体框架，这标志内部控制理论发展到新的阶段,赢得了各方的好评。 一、COSO内部控制整体框架的诞生 1997年，美国国会通过了《反国外贿赂法》(FCPA)，在反贿赂条款之外，又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后，在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制：现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。 1985年，由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting)，即tread－way委员会。Tread－way委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。Tread－way委员会就内部控制问题提出了许多有价值的建议，并倡议建立一个专门研究内部控制问题的委员会。因此，Tread－way委员会的赞助机构成立了私人性质的COSO，其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。1992年，COSO提出了《内部控制整体框架》报告，并在1994年进行了增补。 二、COSO内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点，超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。 报告认为，内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上，内部控制是为了确保组织的最高层参与到整个机构的运作中，以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。 为了实现内部控制的有效性，需要下列五个方面的要素支持：控制环境(Control environment)、风险评估(Riskassessment)、控制活动(Control activities)、信息与交流(Information and communication)和监测(Monitoring)。 控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策，再以战略计划和预算过程进行支持；然后，清晰定义利于划分职责和汇报路径的组织结构，确立基于合理年度风险评估的风险接受政策；最后，向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性，同时，高级领导层需对文件控制系统作出承诺。 风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然，多年来，美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte Carlo模拟”和“风险价值”法)测算风险，但把风险评估作为要素引入到内控领域，这还是第一次。 相比之下，控制活动则是人们较早关注的方面，它包括确保管理层指令得以实施的政策

行政事业单位内部控制建设工作指南试行精编

行政事业单位内部控制建 设工作指南试行精编 High quality manuscripts are welcome to download

行政事业单位内部控制建设工作指南（试行） 为加强对市级行政事业单位内部控制建设的业务指导，指导各单位建立和完善内部控制规范，促进各单位充分利用内控建设，提高风险管控意识和内部管理能力，特编写本指南。 一、机构搭建与组织保障 1．成立单位内控委员会。由单位一把手任主任，分管领导任副主任，其他部门负责人为成员。 内控委员会是单位内部控制建设最高领导机构，负责制定单位内部控制体系建设总体要求和工作部署；负责统筹协调单位内部控制体系建设工作；审核单位内部控制建设实施细化方案；审核内控体系建设工作计划和各类工作报告，督促内控工作的顺利进行，确保单位内控管理工作质量；对项目实施过程进行监控和协调，提供项目资源支持；研究决定内部控制体系建设中涉及到流程调整、人员配置等重大事项和重要问题。 2．委员会下设办公室。办公室可设在单位经济业务主要管理部门（例如：办公室或财务部门），主任由分管领导担任，该部门负责人任副主任，其它内控关键部门负责人或指定联络人为成员。 内控办公室是单位内部控制建设执行机构，负责编制单位内部控制体系建设实施细化方案和工作计划；负责组织开展内控培训和宣传工作；负责统筹、协调和监督落实方案各项任务；负责组织落实内控建设具体工作；负责组织单位内部控制体系建设成果验收工作；负责单位内部控制体系建设过程中的信息发布和保密工作；负责协调办理内控委员会交办的各项工作；负责研究制定内控建设工作的考核方案。 如单位规模较大，内控办公室下可按照经济业务分工另组建业务实施组，负责某项业务的流程梳理和风险评估，确定牵头部门和配合部门，牵头部门主要负责人担任组长，各组明确1名联络人，定期将业务实施组的工作情况向内控办公室汇报，其他成员由牵头部门、配合部门根

1.3内控体系建设总体安排

中国石油内控体系建设 总体安排 公司管理层高度重视内部控制体系的建设工作，根据《萨班斯-奥克斯利法案》和企业内部管理的要求，对如何开展内部控制体系建设工作进行了整体策划，明确了建设的目标、建设思路、建设方法，确定了项目建设阶段，并对如何开展内控建设工作提出了意见和具体要求。通过本次培训，可以了解中国石油内部控制体系建设的基本情况，明白如何建设中国石油自己的内部控制体系，以便更好地进行企业内部控制。 一、企业建立内部控制体系的必要性 完整的内部控制体系和完善的内部控制制度，是约束、规范企业管理行为的准则，是规避风险的重大措施。实施内部控制可以及时发现和纠正各种错弊及不法行为，有利于保证资产安全、完整，保证经营成果与财务状况真实、可靠。其必要性表现为以下几个方面： 一是建立现代企业制度，完善法人治理结构，实现经营机制的转换，加强企业管理，提高企业经济效益的客观需要。现代企业制度的重要特征之一就是权责分明，要求企业内部建立相互制衡、相互监督的治理机制，以加强内部管理，提高经营效率。

二是贯彻我国新《会计法》、财政部颁布的《内部会计控制规范》以及适应美国《萨班斯-奥克斯利法案》等法律法规的必然要求。我国于2000年7月1日开始实施的新《会计法》第二十七条明确要求“各单位应当建立、健全本单位内部会计监督制度”。财政部颁布的《内部会计控制规范》进一步指出，内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。随后财政部陆续出台了各项业务内部控制规范。2002年7月30日生效的美国《萨班斯-奥克斯利法案》，旨在进一步全面提高所有在美国上市的公司（含注册地在美国境外的上市公司）的治理水准，强化上市公司的内部控制，规范财务和信息披露的程序和行为，防止或减少虚假不实和欺诈行为的发生。以上说明，企业建立完善的内部控制体系十分必要。 三是加入WTO后参与国际竞争的迫切需要。随着社会生产力的发展和科学技术的进步，信息技术高度发展，全球经济一体化的进程加速，各国企业所面临的风险也逐渐加大。股份公司也面临众多国内外企业的激烈竞争和有力挑战，必须尽快建立健全有效的内部控制制度，提高经营管理的效率和效果，以便在激烈的国际竞争中立于不败之地。只有在内部各个环节实行有效管理的企业，才能真正获得市场竞争的优势。